ฉากแฮ็กเกอร์ของ Cisco มี เงียบสงบในช่วงสามปีที่ผ่านมา แต่ในการประชุมแฮ็กเกอร์ของ Black Hat ในลาสเวกัสวันนี้จะมีเสียงเล็ก ๆ น้อย ๆ

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

วันนี้ Cisco Chief เจ้าหน้าที่รักษาความปลอดภัยจอห์นสจ๊วตรู้สึกทึ่งเกี่ยวกับประสบการณ์นี้โดยบอกว่า บริษัท ของเขาดำเนินการด้วยเหตุผลที่ถูกต้องปกป้องลูกค้าและทรัพย์สินทางปัญญาของตน แต่ก็ไปไกลเกินไป "เราทำอะไรโง่ ๆ " เขาพูด "นั่นเป็นเหตุผลที่ผมเองสนับสนุน Black Hat ในระดับแพลทินัมตั้งแต่นั้นเป็นต้นมาเพราะผมคิดว่าเราได้รับการชดเชยให้ทำ" Lynn ไม่ได้ทำงานนาน เขาถูกคว้าอย่างรวดเร็วโดยคู่แข่งของซิสโก้ Juniper Networks แต่ไม่กี่ปีหลังจากพูดคุยของเขาเองเจฟมอสผู้อำนวยการของ Black Hat กล่าวว่าการถกเถียงเรื่องแฮ็กเกอร์ของ Cisco ไม่มากนัก

มอสเชื่อว่าเศรษฐศาสตร์อาจขับเคลื่อน นักวิจัยบางคนของ Cisco อยู่ใต้ดิน รหัสใด ๆ ที่ใช้ประโยชน์จากช่องโหว่ของ Cisco มีค่ามากเช่นกันที่แฮ็กเกอร์ผู้เลือกที่จะเปิดเผยข้อมูลของเขาแทนที่จะขายให้กับ บริษัท รักษาความปลอดภัยหรือหน่วยงานของรัฐมักให้เงินเป็นจำนวนมาก Moss กล่าว ความเสี่ยงของ Mike Lynn มีมูลค่าประมาณ 250,000 เหรียญสหรัฐเขาคิดว่า

แต่ในปีนี้สิ่งต่างๆได้เปิดขึ้นแล้ว ผู้จัดเตรียม Black Hat วางแผนการพูดคุยเกี่ยวกับเราเตอร์ Cisco และระบบปฏิบัติการแบบอินเตอร์เนตที่พูดถึงสามครั้ง "ทุกอย่างฉับพลันในปีนี้หลายสิ่งหลายอย่างได้รับการทำลายหลวม" มอสส์กล่าวว่า

เมื่อเร็ว ๆ นี้กับ Microsoft Windows ไม่พื้นดินอุดมสมบูรณ์สำหรับการล่าสัตว์ข้อผิดพลาดที่เคยเป็นนักวิจัยกำลังมองหาผลิตภัณฑ์อื่น ๆ ที่จะสับ และเราเตอร์ของ Cisco เป็นเป้าหมายที่น่าสนใจ ตามที่ บริษัท วิจัยไอดีซีกล่าวว่า "ถ้าคุณเป็นเจ้าของเครือข่ายคุณเป็นเจ้าของ บริษัท " นิโคลัสฟิชชเชอร์ผู้จัดการอาวุโสด้านวิศวกรรมเครือข่ายและการรักษาความปลอดภัยของ COLT Telecom ของยุโรปกล่าว ผู้ให้บริการข้อมูล "การเป็นเจ้าของ Windows PC ไม่ใช่เรื่องสำคัญอีกต่อไป"

แต่เราเตอร์ของ Cisco มีเป้าหมายที่หนักกว่า Windows แฮกเกอร์ไม่รู้จักแฮกเกอร์มากนักและมีหลายรูปแบบดังนั้นการโจมตีเราเตอร์หนึ่งอาจล้มเหลวในหนึ่งวินาที ข้อแตกต่างอีกประการหนึ่งคือผู้ดูแลระบบของซิสโก้ไม่ได้ทำการดาวน์โหลดและใช้งานซอฟต์แวร์อย่างต่อเนื่อง

ในที่สุดซิสโก้ได้พยายามทำงานในช่วงไม่กี่ปีที่ผ่านมาเพื่อลดจำนวนการโจมตีที่อาจเกิดขึ้นกับเราเตอร์จากอินเทอร์เน็ต Fischbach "การใช้ประโยชน์จากพื้นฐานและการใช้งานที่ง่ายจริงๆที่คุณสามารถใช้กับบริการเครือข่ายได้หายไปจริงๆ" เขากล่าว ความเสี่ยงของการมีเราเตอร์ที่ได้รับการกำหนดค่าไว้อย่างดีจากผู้ใช้ภายนอกเครือข่ายขององค์กรของคุณคือ "ต่ำมาก"

ที่ไม่ได้ขัดขวางการเพาะปลูกนักวิจัยด้านความปลอดภัยล่าสุด

สองเดือนที่ผ่านมาผู้วิจัย Core Security Sebastian Muniz แสดงให้เห็นถึงวิธีใหม่ในการสร้างโปรแกรม rootkit ที่ยากต่อการตรวจหาสำหรับเราเตอร์ของ Cisco และในสัปดาห์นี้เพื่อนร่วมงานของเขา Ariel Futoransky จะให้การอัปเดต Black Hat เกี่ยวกับการวิจัยของ บริษัท ในพื้นที่นี้

นอกจากนี้นักวิจัย 2 คนจาก IRM (Information Risk Management) ซึ่งเป็นที่ปรึกษาด้านความปลอดภัยในลอนดอนมีแผนที่จะเผยแพร่ GNU Debugger รุ่นที่แก้ไขแล้วซึ่งจะทำให้แฮกเกอร์สามารถดูว่าเกิดอะไรขึ้นเมื่อซอฟต์แวร์ Cisco IOS ประมวลผลโค้ดและโปรแกรม shellcode สามชุด ที่สามารถใช้ในการควบคุมเราเตอร์ของ Cisco

นักวิจัย IRM Gyan Chawdhary และ Varun Uppal ได้ลองดูที่ Lynn อีกครั้ง โดยเฉพาะอย่างยิ่งพวกเขามองอย่างใกล้ชิดถึงวิธีที่ Lynn สามารถหลีกเลี่ยงคุณลักษณะด้านความปลอดภัย IOS ที่เรียกว่า Check Heap ซึ่งจะสแกนหน่วยความจำของเราเตอร์สำหรับประเภทของการปรับเปลี่ยนที่จะทำให้แฮกเกอร์สามารถเรียกใช้รหัสที่ไม่ได้รับอนุญาตในระบบได้

พวกเขาค้นพบว่าแม้ว่าซิสโก้ได้ปิดกั้นเทคนิคที่ Lynn ใช้ในการหลอกล่อ Check Heap แต่ก็ยังมีวิธีอื่นที่จะแอบเข้าไปในระบบของพวกเขา หลังจากการเปิดเผยข้อมูลของ Lynn ซิสโก้ "แก้ไขรูปเวกเตอร์" Chawdhary กล่าว "ในแง่ของข้อผิดพลาดยังคงมีอยู่"

ด้วยการปรับเปลี่ยนส่วนหนึ่งส่วนของหน่วยความจำของเราเตอร์พวกเขาสามารถข้าม Check Heap และเรียกใช้ shellcode ของพวกเขาเข้าสู่ระบบได้เขากล่าว

นักวิจัย Lynn ให้เครดิตกับการทำให้เขา Felix "FX" Lindner จะกล่าวถึง Cisco hacking ที่ Black Hat ด้วย Lindner หัวหน้าแผนก Recurity Labs มีแผนจะปล่อยเครื่องมือนิติวิทยาศาสตร์ Cisco ตัวใหม่ของเขาเรียกว่า CIR (Cisco Incident Response) ซึ่งเขาได้ทดสอบเวอร์ชันเบต้ามาหลายเดือนแล้ว จะมีเวอร์ชันฟรีซึ่งจะตรวจสอบหน่วยความจำของเราเตอร์สำหรับ rootkit ในขณะที่ซอฟต์แวร์ในเชิงพาณิชย์จะสามารถตรวจจับการโจมตีและวิเคราะห์อุปกรณ์ทางนิติวิทยาศาสตร์

ซอฟต์แวร์นี้จะให้ผู้เชี่ยวชาญด้านระบบเครือข่ายเช่น Fischbach ทาง เพื่อย้อนกลับไปดูหน่วยความจำของอุปกรณ์ Cisco และดูว่ามีการดัดแปลงหรือไม่ "ฉันคิดว่ามีการใช้มัน" เขากล่าว Stewart กล่าวว่า "สำหรับผมแล้วมันเป็นส่วนหนึ่งของชุดเครื่องมือเมื่อคุณทำนิติวิทยาศาสตร์ แต่ก็ไม่ใช่เครื่องมือเดียวที่คุณควรพึ่งพา"

ยังมีอุปสรรคสำคัญสำหรับผู้โจมตี Cisco ตัวอย่างเช่นผู้โจมตีจำนวนมากไม่เต็มใจที่จะสับเราท์เตอร์เพราะหากทำผิดพลาดพวกเขาจะเคาะออกจากเครือข่ายทั้งหมด "เราผ่านพ้นเพราะไม่มีใครต้องการลิงกับโครงสร้างพื้นฐานที่พวกเขากำลังใช้อยู่" เขากล่าว "มันเหมือนกับการขยับขึ้นทางด่วนในขณะที่คุณกำลังพยายามจะไปยังเมืองอื่น ๆ "

แม้ว่าซิสโก้อาจไม่มีปัญหาด้านความปลอดภัยที่สำคัญในตอนนี้ แต่สจ๊วตก็ไม่ได้รับการยอมรับอะไรเลย

ในความเป็นจริงเขายัง ยอมรับว่า บริษัท ของเขาได้รับโชคดีจนถึงขณะนี้และเขารู้ว่าอาจมีการเปลี่ยนแปลงหากมีผู้คนจำนวนมากเช่น Lindner เริ่มต้นทำงานกับปัญหานี้ "เรามีเวลาแล้ว" เขากล่าว "เรามีโอกาสที่จะดีขึ้นและเราควรลงทุนอย่างต่อเนื่องในการลดพื้นผิวการโจมตี"